网络安全防御知识篇1
关键词:计算机网络;求精技术;防御策略
目前,计算机网络技术在人们的生活、学习中发挥着重要的作用。计算机网络技术以极高的“办事效率”方便着人们的生活。然而伴随着网络技术的不断发展,出现了很多安全隐患。传统的安全软件只可以抵御小规模的网络攻击,面对大规模且新型的网络攻击略显不足。因此,对计算机网络技术防御策略的求精关键技术研究有着鲜明的现实意义。
1移动互联时代计算机的安全现状
当今,随着国民经济的不断发展及科学技术的不断突破,计算机已经走进了挨家挨户。并改变着人们的生活方式。目前,计算机网络所面临的问题便是计算机网络安全。怎样才可以保障用户的信息安全,全方位的解决计算机网络安全问题,逐渐成为了人们关注的重点。就目前来说,伴随着计算机网络安全问题而产生的计算机防御措施,并不能全方位的解决计算机网络安全问题。从目前计算机网络技术的发展形势来看,计算机将会持续现今发展趋势。从计算机网络技术的演变形势来看,计算机网络技术的所面临的问题主要是系统漏洞和病毒感染。它们会隐藏在网络传递信息之中,从而对用户的信息进行盗取和泄露,在很大的程度上使得计算机网络环境埋下巨大的安全隐患。
2计算机网络防御及求精技术关键
2.1防御策略的模型
防御策略的模型是将现有计算机网络知识和防御系统相关理念进行科学的结合。达到技术与实际的完美统一。防御策略的模型构建,会对数据库、用户信息、计算机设备等进行完善,达到保护用户信息及维护网络安全的目的。并且在防御策略模型的构建中,技术与思想的有机结合,防御好知识系统的统一对推动计算机发展和计算机网络工程的运作有着总要的意义。防御策略系统模型的构建在整个防御系统的的构建中处在重要的位置。并且,防御策略模型的构建需要以计算机当前运行状况为前提。防御策略的构建大大降低了人工管理精力,使得计算机在网络安全问题的防御上变得更加的迅速和灵活。
2.2求精技术
2.2.1求精技术模型
求精技术是一个由简入繁的过程,它的目的在于将高层防御策略变成操作层防御策略。其中所谓的高层防御策略就是应用网络运营管理者设计的安全防御方法并由管理者对网络安全问题进行防御。操作层的防御策略方法是应用计算机自身安全防御方法,执行正确的安全问题防御策略。计算机求精技术模型中包含了四大操作层防御策略及高层防御策略,其中有响应、检测、恢复、保护。
2.2.2求精技术设计规则
计算机网络求精技术中操作层防御规则及高层防御规则包括六个方面:RU(用户和设定角色两者之间求精规则)、RS(源点、源域及用户之间求精规则)、RC(漏洞和漏洞类型之间求精规则)、Ra(动作和活动两者直接的求精规则)、RR(资源以及目标两者之间的求精规则)、RDD(防御动作、手段、防御实体三者之间的求精规则)。
2.2.3求精技术的计算方法
根据大量的实验以及对计算机求精技术的现状分析,依据以上的问题及求精技术特殊的构成方式,求精技术的计算方法主要以CnDpR为主。
3计算机网络防御策略求精关键技术的完善措施
3.1建立满足当代社会需求的网络安全管理体系
计算机网络安全防御策略求精技术还有很多不足,并不能真正的达到由高层防御策略完全过度到操作层防御策略中去。因此,我们应该加大对管理人员的培训,使得用户网络信息得到很好的保障。建立科学的计算机网络管理机制,完善对计算机网络安全的维护。根据计算机独有的特点构建专属的计算机网络管理体系。将各项规定落实到实际中,加大对网络安全知识的宣传,提高网络用户安全意识。
3.2推动防火墙等一系列安全防御软件的开发
防火墙的作用毋庸置疑,它本就是为了连接计算机和网络系统从而实现对潜在计算机网络安全隐患的监测,它可以保证没有应用的系统端口在特定时间内不受外界干扰,从根本上解决计算机网络安全隐患,同时提升了计算机网络安全防护的效率。因此,鉴于现今的网络技术发展速度,对防火墙和网络安全防御软件的开发推广,仍然有着重要作用。
3.3应用和完善反病毒技术
针对计算机网络中的病毒感染问题,我们要做出及时的防御措施。为使计算机可以全面、高效的运作,对计算机网络病毒感染的防御有着重要的意义。因此,在计算机网络技术发展的同时,网络运营管理者应该加大对网络安全知识的宣传,告诫用户以使用正版的计算机软件为主。加大对违法盗版用户的打击力度。并且,对重要文件进行备份处理,以防止意外发生。在计算机上设置必要的权限,禁止非法登录盗取他人信息。提高自己的信息保护安全意识及计算机系统安全。3.4扫描技术的应用扫描技术与防火墙及反病毒技术有相同的目的,让它们三个共同协作可以加大计算机安全性能。计算机扫描技术是一种广泛的计算机防御技术。因为它的普遍性计算机扫描技术而不被大多网络用户重视。然而随着计算机网络求精技术的发展,计算机扫描技术的不断更新,将会在计算机网络安全问题防御上起到更大的作用。
4结束语
计算机网络技术不断发展,在人们生活学习中已经起到了重要的作用,它影响着社会发展方向,对社会发展进程有着不可估量的作用。随着计算机深入人们生活,网络安全问题也随之而来。事实证明,计算机网络防御策略求精关键技术可以很好的在现今的计算机发展背景下保护用户的信息安全。我们相信通过对计算机网络防御策略求精关键技术的研究和突破及其它网络安全模式的推广可以构建一个和谐安全的计算机网络环境。让网络用户更好的享受对计算机网络的体验。
作者:于大为单位:哈尔滨盛世华博科技发展有限公司
参考文献:
[1]苗斌.智能电网中计算机网络系统的安全作用[J].数字技术与应用,2016,7:250-251.
[2]李延香,袁辉.网络环境下计算机病毒及其防御技术的研究与实施[J].自动化技术与应用,2016,7:36-38+64.
网络安全防御知识篇2
间谍程序、游戏木马、黑客程序等网络病毒的频频爆发,已经使反病毒领域开始意识到,单纯依靠“特征码技术”已经不能适应反病毒需求。能否率先掌握主动防御技术,高效主动防御未知病毒已成为国内外反病毒厂商亟待突破的重点,也是反病毒厂商新一轮洗牌的关键。
从片面向全面的抗战
传统的aV技术在进入2000年后,虽然也在不断发展,但已经趋于平缓。从引擎技术上没有再催生当年类似虚拟机技术那样的变革,企业级反病毒的体系机构也没有更多的突破。而同时,每次大规模的蠕虫爆发都在削弱广大用户对于反病毒体制的信心。对aVeR来说,一个思考可能在于,仅仅依靠aV本身,是否能达到有效控制病毒的目的,至少有些问题是aV企业自身无法解决的。
漏洞问题。历次大规模爆发的蠕虫都是依靠漏洞传播的,但先抛开反病毒软件是否有义务给用户系统打补丁的问题,首先反病毒产品是否有权力来打补丁都成为问题。
用户意识和水平问题。反病毒企业无法承担教化整个社会的责任,况且无论怎样强调,都一定会有用户不安装、不升级、不开实时监控。更何况还有人做病毒的主动散布者。
网络控制问题。蠕虫的重要后果在于对网络的影响,但aV并不处在网络控制的中枢地带。
与此同时,操作系统厂商和网络设备供应商也都意识到自身的责任,微软推出了windowsXpSp2,其中的Dep技术有效地遏制了溢出的发生,CiSCo推出了SDn的概念,在基础建设的环节中开始整合入aV环节。
从这个意义上说,主动防御首先表现在体系上,从局部向整体,从片面抗战开始走向全面抗战发生变化,包括主流操作系统自身安全性的增强,用户接入条件变化,网络过滤能力的增强,aVwaRe识别未知病毒能力的增强。
从而催生了从传统的主机环节分布工作,集中管理的传统企业反病毒模型到由网关环节、网管环节到主机环节的整体病毒防御模型。而传统的企业反病毒的控制台也在向能够管理多种安全产品的SoC演化。图1就表述了一种如何应对各种病毒威胁的全新方法。
坚持和发展
无论信息系统环境如何变化,以及反病毒技术自身如何发展,传统的识别、检测处理的思路都不会被抛弃。
反病毒的目的。对安全体系来说,aV只是一个必要而不充分的环节。我们曾经指出反病毒技术的根本目的不是查杀病毒,而是保证信息系统的安全。因此,我们曾经对误查误报,以及损坏用户数据文件的事件高度警惕。这个思想目前来看仍是正确的。
传统技术不会被抛弃。反病毒的本质是精确识别与处理的问题,识别是正确处理的前提。因此,同样是CiH,如果把1019的清除方法用于1013,可能会出现意想不到的问题。如果摈弃了传统技术这就成为无法解决的问题。
传统反病毒技术的软肋。反病毒技术链条的最薄弱环节并不在于病毒分析和升级,而在于病毒捕获。
目前病毒的发展正在从根本上挑战这一体制。首先,由于编写病毒,特别是木马的经济目的性增强,从而使样本的定向使用趋势不断明显,样本的传播范围大大减小,从而使受到用户上报的概率大大降低。另一方面,随着大量的系统技术的公开,越来越多的驱动级和其它利用溢出等方式深度隐藏的木马出现,使用户发现已经被木马感染的概率也在降低。
反病毒的技术体制的另外一个薄弱环节则是,它是一种低成本、廉价、容易获得的安全手段。一般来说,类似防火墙和iDS等安全设备,其保护者和攻击者,并不处于对等地位,多数攻击者并不具备获取设备进行测试分析的能力。而反病毒软件却是病毒制作者们不需要用任何代价就可以获得的。这就将aV完全置于暴露的境地。
不断修改和反复查杀测试,是毒客使他们编写的样本逃避检测的最朴素也最有效的手段。这种修改和测试的风险也是不通的,攻击者与iDS的对抗、与Honeypot的对抗,对多数攻击者来说,都是冒着可能被发现和捕获的风险。而本地的病毒测试则非常安全。
建设性安全观
行为识别提高了对尚未捕获的定向样本识别能力。但对于aV的另外一块短板,即毒客可以通过不断测试寻找逃避的方法,依然无能为力。
逃避行为检测的方式,同样可以是主动的。一种是类似anti-aV的模块,直接将行为检测模块摘掉,而另一种模式则更为有趣,病毒在执行过程中发现有行为判别模块时,则不走入病毒的正常行为分支。
在Vmware开始流行不久,毒客们就注意到了aVeR采用这种东西来观察病毒的行为。因此,他们编写了一段识别Vmware环境的例程,如果发现Vmware就安静的推出,从而使病毒分析工程师难以观察病毒的表现。
完美的技术从来不曾存在,我们也从未见过针对网络这个复杂巨系统完备而又可实施的解决方案。因此,评论一种安全技术是否有价值的方式,并不在于是否无懈可击,而在于其能够带来的安全效果与其所付出的代价。
有两类关于反病毒技术的评论观点。一类说,每天分析这么多病毒累不累,是否应该寻求一些一劳永逸的方法,他们多数并没有分析过任何一种病毒,他们美好的初衷完全来自于想象。而另一类则往往表达这样的观点,做那些东西根本没有用,大家及时升级,打好补丁就可以,反病毒软件根本没有必要存在。
第一类观点尽管使我们哑然失笑,但对于第二种观点则更令我们无可奈何。持第二种观点的人不乏熟练的用户,但无疑,他们假定了,所有普通用户都有他们一样的安全敏感性和安全常识。
既然我们都承认安全没有一劳永逸的方法,既然我们都明了任何安全手段都只是增加攻击者入侵的代价,而不能彻底解决安全问题。我们就应该建设性的看待主动防御的每一步探索――不完备永远好于不作为。
链接
实时升级主动防毒
《金山毒霸2005》除了具备普通杀毒软件的防杀功能外,还具备主动的防毒功能。这项功能最主要的特点就是可以主动实时更新病毒库,抢先操作系统启动杀毒软件。金山公司副总裁王全国强调,《金山毒霸2005》采取的主动实时升级方式,无需用户做任何操作,只要一上网便将最新的病毒库或者功能自动进行下载安装,用户时时刻刻都可以获得与全球同步的最新病毒特征库。
防火墙走向智能化
对于主动防御,不同的安全领域有不同的理解和技术原理。传统的防火墙通过设定好的规则进行网络数据过滤,丢弃不符合规则的数据包,以此防范网络攻击。而事实上,目前许多网络攻击已经可以完全绕开这些规则。
防火墙的技术发展大概经历了五个阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤技术。1989年,贝尔实验室的Davepresotto和Howardtrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙―应用层防火墙(防火墙)的初步结构。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列Checkpoint公司开发出了第一个采用这种技术的商业化的产品。1998年,nai公司推出了一种自适应(adaptiveproxy)技术,并在其产品GauntletFirewallfornt中得以实现,给类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
前五代防火墙技术有一个共同的特点,就是采用逐一匹配方法,计算量太大。包过滤是对ip包进行匹配检查,状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查,应用对应用协议和应用数据进行匹配检查。因此,它们都有一个共同缺陷――安全性越高,检查的越多,效率越低。用一个定律来描述,就是防火墙的安全性与效率成反比。正是在这种情况下,带有主动防御的智能型防火墙应运而生。目前带有主动防御功能的防火墙实质是集成了防火墙、防病毒、Vpn、内容过滤、反垃圾邮件、流量整形、iDS等技术大成于一身的主动防御系统,对于DDoS、蠕虫、垃圾邮件、黑客入侵等都具有一定的防范作用,而且这种防范是基于行为判断的,而不是单一依据以往的防火墙规则。如安氏公司的inktrustBorderprotector,即是基于这种主动防御理念的新型防火墙,通过与iDS联动动态防御黑客和病毒,而且可以自动对抗拒绝服务攻击。
安全准入成规范
目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业网络安全管理急需解决的问题。
针对这种情况,包括华为、思科在内的主流网络设备供应商,推出了各自的安全准入控制,以此来主动防御网络安全面临的威胁。
传统的网络安全产品对于网络安全问题的解决,通常是被动防御,事后补救。华为3Com端点准入防御(eaD,endpointadmissionControl)解决方案则从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
eaD解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。
除了以上网络安全主流产品和技术外,其它像入侵检测等也正是基于主动防御这个理念的,可以说,目前网络安全已经进入了一个主动防御时代,目前在网络安全主动防御领域推陈出新,研发出核心技术和产品,已成为安全厂商们市场角逐的关键战略。
链接
网络安全防御知识篇3
目前,医院计算机网络安全管理是网络研究者的一项重要课题,通常是指网络通信的安全、传输数据的安全两部分组成。医院计算机网络安全面临的威胁概括为几个方面。
(1)医院计算机网络病毒威胁。计算机病毒始终是计算机系统安全的一个无法根除的威胁,破坏操作系统和应用软件。尤其是在网络环境下,病毒传播速度快,辐射范围广,更加难以彻底根除,一旦病毒侵入计算机网络系统,就会导致网络利用率大幅下降,系统资源遭到严重破坏,也可能造成网络系统整个瘫痪。
(2)医院计算机网络应用程序漏洞。现今,网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞,并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。
(3)医院计算机网络管理漏洞。只有对网络上存储、传输的数据信息进行严格管理,才能确保网络安全。但是大部分的企业在管理方面都做得不够好,根本不重视网络信息的安全保护,也没有投入一定的物力、人力以及财力来加强网络安全的防护,导致管理上存在漏洞。
2构建计算机安全主动防御体系
2.1网络管理医院计算机网络安全主动防御模型中,网络管理具有重要的作用,其位于主动防御的核心层面。网络安全管理的对象是安全管理制度、用户和网络安全技术,尤其是对网络技术的管理,需要采取各种网络管理策略将网络安全防范技术集成在一起,成为一个有机的防御系统,提高网络的整体防御能力;对用户的管理可以与管理制度相互结合,制定网络安全管理制度,提高人们的网络安全意识,培训正确的网络安全操作。增强网络安全人员的法律意识,提高网络使用警觉性,确保网络运行于一个正常的状态。
2.2防御策略医院计算机网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低,采取不同的网络安全策略,其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略,分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等,确保网络安全达到最优化。
2.3防御技术目前,医院计算机网络主动防御体系采用的防御技术不仅仅是一种技术,其同时能够合理地运用传统的防病毒、防黑客技术,并其有机地结合起来,相互补充,在此基础上,使用入侵预测技术和入侵响应技术,主动式地发现网络存在的漏洞,防患于未然。
3网络安全主动防御体系架构
医院计算机网络安全主动防御体系架构是一种纵深的网络安全防御策略,其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面,本文将从技术层面详细地阐述网络安全防御体系。本文将医院计算机网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面,纵深型的防御体系架构能够将这几种技术融合起来,形成一个多层的纵深保护体系。
(1)网络预警。医院计算机网络预警可以根据经验知识,预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞,预知网络可能发生的攻击行为;行为预警可以通过抓取网络黑客发生的各种网络攻击行为,分析其特征,预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击,判断网络可能存在的攻击行为;情报收集分析预警可以通过从网络获取的各种数据信息,判断是否可能发生网络攻击。
(2)网络保护。医院计算机网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网(Vpn)、防病毒体系构建网络安全保护体系,以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。
(3)网络检测。医院计算机网络检测在主动防御系统中具有非常重要的意义,网络检测可以有效地发现网络攻击,检测网络中是否存在非法的信息流,检测本地网络是否存在漏洞,以便有效地应对网络攻击。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。
(4)网络响应。医院计算机网络响应可以对网络安全事件或者攻击行为做出反应,及时保护系统,将安全事故对系统造成的危害降到最低,因此,网络检测到攻击之后,需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去,同时要定位网络攻击源位置,搜集网络攻击的行为数据或者特点,便于后期防止类似事件发生。比如检测到网络攻击之后,可以用网络监控系统或防火墙阻断网络攻击;可以使用网络僚机技术和网络攻击诱骗技术引诱网络攻击到其他位置。
(5)恢复。及时地恢复医院计算机网络系统,能够为用户提供正常的服务,也是降低网络攻击所造成的损失的有效方法之一。为了能够充分地保证网络受到攻击之后恢复系统,必须做好系统备份工作,常用的系统备份方法包括现场外备份、冷热备份和现场内备份。
(6)反击。医院计算机网络反击可以使用各种网络技术对攻击者进行攻击,迫使其停止攻击,攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为,网络反击必须是在遵循国家的法律法规,不违反道德的范围内。
4结束语
网络安全防御知识篇4
关键词:网络安全;主动防御;非合作动态博弈;攻防博弈
中图分类号:tp393文献标识码:a文章编号:1674-7712(2012)16-0061-01
一、引言
在现有的网络技术中,一般采用安全策略配置的方法来设置网络防火墙,进而对网络起到保护作用,然而这类型的静态博弈方式有着一些弊端,比如,对于网络攻击者的供给意图和攻击策略无法实时的做出合理的应对,防御方式显得过于程式化,无法抵挡多变的网络攻击,对于一些瞬间和未知的攻击不能起到防御的作用。对于广大用户来说,最为安全、最为理想的防御系统,就应该具备对付所有攻击行为和修复系统弱点的效果。虽然这个想法有点不符合实际,但是整个方向还是相对正确的。因此在设置网络安全防御系统的时候,必须考虑系统的适度安全性。本文通过对非合作、非零和动态博弈理论进行了全面的分析,提出了相关的信息动态博弈防御模型,并且对完全信息和非完全信息条件下的适用场景做了科学的研究,体现网络安全防御技术的可操作性,以提高网络安全主动防御技术的水平,促进防御技术的改革与创新。
二、动态博弈的网络安全防御技术相关的定义描述
(一)完全信息动态博弈主动防御模型(aDDG)
(二)攻防博弈树t定义介绍
三、对于多阶段非合作动态博弈防御技术的分析
(一)攻防博弈树的形成
攻防博弈树可以用来表述完全信息网络攻防动态防御行为,因为攻防博弈树可以将参与网络攻击者和防御者的对抗形式和策略完全体现,可以通过攻防博弈树清楚地了解局中人的行动时间、行动方式、行动策略,以及在行动后的收益情况。
(二)多阶段非合作动态博弈算法简介
1.完全信息多阶段动态博弈逆向归纳法
在完全信息的网络状态下,结合攻防博弈树的防御技术,通过多阶段动态博弈逆向归纳法的计算,可以得出所有可能的网络攻击途径,以及网络防御的最佳策略。需要注意的是,在计算开始时,需要初始化攻防博弈树。
2.非完全信息多阶段动态博弈逆向归纳法
该计算方法,与完全信息多阶段动态博弈逆向归纳法的计算方式大致相同,是在完全信息状态无法满足时,演变而来的计算方法。该算法可以看成一个静态博弈过程,是在逆向归纳过程中,将所有信息节点集合组成一个子博弈树的过程。该算法中,当处于零和博弈状态时,计算相对复杂,为提高效率,需要博弈树中体现最少的非单节点信息集。
四、结语
传统的博弈网络安全防御技术普遍使用的是静态的博弈,这种静态的博弈方式对于网络攻击者的供给意图和攻击策略无法实时的做出合理的应对,防御方式显得过于程式化,无法抵挡多变的网络攻击。因此,非合作动态博弈的网络安全主动防御技术就应运而生了。网络攻防图和攻防博弈树的形成,对于网络动态博弈的主动防御有着深刻的意义,不仅可以提高网络安全主动防御技术的水平,还可以促进网络安全防御技术的改革与创新,以期为网络安全防御领域做出贡献。
参考文献:
[1]林旺群,王慧,刘家红,等.基于非合作动态博弈的网络安全主动防御技术研究[J].计算机研究与发展,2011.
网络安全防御知识篇5
关键词:人工智能;大数据;网络安全;态势感知
在网络安全管理中,必须全面注重策略求精问题。大部分技术人员在开展网络安全管理时,开始引入Vpn防御策略,以此强化网络防御能力。然而在具体防御控制过程中,没有有效融合响应、保护和监测方式,在出现复杂协同的网络攻击行为后,所发挥出的防御效果不佳。通过分析网络防御策略可知,首先,策略求精方法缺失。开展网络管理时,策略求精属于基础需求。主要应用Vpn策略求精、访问控制策略,无法有效融合iDS检测和漏洞检测等防御方式,对防御效果的影响较大。其次,不具备语义建模法。通过语义一致性,可以提升语义建模的效果。在应用策略求精方法时,需要通过手工方式实现语义分析。然而由于缺乏自动化方法,因此无法进行语义建模,还会对网络防御目标的实现产生影响。再者,缺失语义一致性分析方法。针对策略求精来说,主要属于推理过程。但是在推理时,未将语义作为载体,严重影响语义一致性。尤其是分析语义一致性时,没有立足于概念和结构角度,无法实现语义一致性目标。此外,在应用策略求精方法时,有效性验证的难度比较大,无法发挥出智能技术和大数据技术在网络防御中的作用。
1信息安全态势感知系统概况
企业管理信息安全时,多通过防御机制实现。利用防御、修复方式,能够对网络安全进行渗透式测试,同时评估网络风险,尽早找寻出信息系统漏洞,通过科学有效措施修补漏洞。当发现攻击行为时,必须及时分析网络流量、设备日志,找寻网络攻击阻止方式。在应用防御措施时,必须投入大量时间和精力,相应增加心理波动。面对不同类别的信息安全,企业必须应用威胁情报技术、大数据技术、人工智能技术,建立信息安全态势感知系统。系统核心在于应用网络安全数据,准确分析企业内部信息安全风险,同时掌握企业现存危险,明确信息安全态势。网络安全数据,包括互联网漏洞数据,威胁情报数据等。信息安全态势感知系统,可以有效联合企业外网数据与内网数据,准确判断现存攻击,同时参照资产脆弱度方面,利用风险评估模型,对网络系统风险进行评估。注重传输风险因素,到达威胁态势模块,此时会暴露出风险。因为网络攻击较为高级,攻击事件长,必须准确检查企业内网历史数据,寻找潜在风险隐患,利用态势模块展现。系统运行时,涉及较多监测搜索数据,同时要做好分析判断,注重科学运算。因此,该系统需要建立分布式计算核心平台。
2网络安全态势感知系统的关键技术
网络态势感知系统,涉及数据采集技术、数据预处理技术、数据存储与检索技术、数据分析技术。具体分析如下:
2.1数据采集技术
对于数据收集来说,数据层埃及量非常多,例如web服务日志、防火墙日志、安全情报数据。其中,安全情报数据,可以通过系统识别与应用。安全情报数据,借助于云服务器,能够更新相关内容。基于现状发展可知,安全情报、数据支持无权威性数据。针对部分大型企业,由于数据流量较高,因此需要收集较多新内容。网络流量镜像数据采集难度大,必须全面提升探针容错性,加强数据采集能力。利用测试,对系统予以优化。利用千万兆网络,实时采集网络数据,通过分光器镜像、网络端口镜像,将收集数据传输到分析平台,便于分析数据信息。该项技术牵扯到行为特征分析、自动关联,端口匹配。端口匹配,遵循标准对应关系,利用传输控制协议、无连接传输协议的端口识别,加快检测速度。但是在应用期间,极易被伪造和攻击。因此,在端口检测结束后,必须科学分析数据。对于流量特征检测,涉及未公开协议流量识别、标准协议流量识别。其中,标准协议流量识别,对信息、命令做出特殊要求。在分析检测中,准确核对特有字段、状态,确保流量识别的准确性。对于未公开协议流量识别,通过逆向分析协议法,实行解密处理,科学分析报文内特有字段,确保流量识别准确性。针对自动连接关联,因网络传输容量持续增加,利用单个连接传输所有数据,已经远远不能满足实际需求。此时需要通过行为特征方法做好分析,密切监测数量流量链接个数、上下行流量比例、数据发送频率,准确识别数据流量。
2.2数据预处理技术
网络安全态势感知系统,主要应用大数据技术处理数据,按照预先设计流程,确保数据处理的可靠性与精确性。在大数据技术中,Stream框架为分布式处理,扩展性较强。当集群节点比较多时,就会相应提升并发处理能力。在处理数据时,对于数据归一、情报知识库的依赖性强。数据归一,主要为流量数据、设备信息。系统利用正则表达式,能够进行归一化处理,同时将数据转化为常用数据,做好深层次分析和研究。针对情报知识库,利用情报库、知识库关联数据,同时提供数据参考。
2.3数据库存和检索
安全态势感知系统,能够应用到海量数据检索中。利用搜索引擎搜索,可以实现分布式全文搜索。在搜索中,可以将分类、名称、内容作为搜索词。
2.4数据分析
在分析数据时,挖掘数据中潜在风险,全面做好安全防范处理工作。在此期间,可能要应用到机器学习重沙箱技术、反病毒查杀技术、恶意代码智能检测技术、自动化数据处理技术。对于恶意代码,则以常规软件、恶意软件作为样本,建立人工智能引擎,深入分析不同软件的特征,同时建设可识别恶意软件的模型,确保恶意软件识别的准确性。对于反病毒查杀技术,在现有技术上优化,确保病毒信息、数据信息识别的准确性。针对机器学习、重沙箱技术,因系统数据采集、处理能力较强,需要高度依赖机器学习、关联分析技术,确保数据筛选的准确性,同时提取重要信息,传输至人工运营团队。对于自动化数据处理技术,态势感知系统为智能化平台,需要依赖人力操作,需要为专业人员提供综合化、可信度较高的数据。建设数据自动化处理平台,通过全貌特征,跟踪攻击者,及时发现潜在威胁,生成可用的威胁情报。
3人工智能与大数据技术在网络安全态势感知中的应用
3.1建立防御策略模型
在应用策略求精关键技术时,首先应当建立模型。此次研究采用三维模型建立方式。在建立模型时,必须应用系统思想、方式技术和网络知识,通过不同方式的相互配合,可以全面确保系统工程的安全性。联合安全机制,可以明显提升数据库性能、信息完整性、计算机设备性能。在应用策略求精技术时,必须确保网络信息满足精益化发展。为了实现以上发展目标,必须提升高层防御策略实效性。在应用期间,以服务资源要求作为基础前提,在节点端口位置,获取系统安全参数。如果改变参数,则无须特殊处理,能够直接优化配置。需要注意的是,在参数配置中,涉及海量数据包、接口数据,同时牵扯到语法变换。在建立模型时,必须充分考虑到上述内容。此次研究过程中,基于CnDpR模型开展研究,将策略求精概念应用到具象化处理中。生成防御策略后,可以将其用到设备节点中,并且以可执行策略规则形式存在。通过应用该模型可以表现出明显的主动特征,以此改变系统状态。从形式上,可以将模型构成主体划分为主体和节点,节点需要采用节点名称、ip、掩码方式生成用户名和口令,同时改变计算机信息流。针对主体形式,主要为相同特征主体。分析系统的实际应用可知,相同特征的主体集,能够体现出角色特征综合体。且不同角色权限,具备较强的关联性。针对该类综合体,需要应用不同表达式进行描述。
3.2建立模型安全体系
重视网络安全运行状态分析,建设模型安全体系。在建设体系时,应当全面分析和掌握计算机特征、网络运行状态,增强技术应用合理性,全面提高人工智能技术、大数据技术的安全性能。模型安全体系建构时,高度重视防御策略模型。采用三维立体化概念,模型建立涉及X轴、Y轴、Z轴,其中,X轴主要是描述系统安全特性;Y轴:主要描述网络层、应用层、物理层、传输层、数据链路层;Z轴主要是描述物理环境,包括信息网络、信息处理、安全管理。确保模型合理的同时,全面提升安全防御效果。在建立模型期间,技术人员必须考虑到网络安全问题,增强模型和用户要求的吻合度。
网络安全防御知识篇6
长亭科技国内真正将智能语义分析技术应用于web应用安全防护领域的公司,长亭雷池web应用防火墙打破了十多年来web应用防护设备(waF)一直依靠规则(即正则表达式)进行防护的局面,开启了web防护的智能时代。因为使用了基于智能语义分析的核心技术引擎和并行数据分析框架,雷池具有快、准、省三大特点。即运行速度快、检测效果准,省时、省力、省心。最终给客户呈现的结果是防御效果更好,对企业的原有业务影响较传统waF更小。
由于不存在规则叠加,雷池web应用防火墙的平均处理时间是0.017ms,99%的处理时间都在0.1ms以下,远快于传统waF。
目前,市面上的waF依靠规则进行威胁识别与防御,判断用户输入是否为威胁的过程较机械,除了容易造成漏报以外,误报是另一个更严重的问题。因为误报可能导致将正常的用户输入拦截,会对企业的业务造成直接的影响,因此,解决误报问题也是新一代waF的研究目标。雷池web应用防火墙采用了基于智能语义分析技术的技术引擎,对攻击数据的识别有智能解读的过程,非常有效地降低了误报率和漏报率。经过真实的数据测试,雷池目前的误报率在千分之一以下,漏报率在3%以下,较传统waF有了不小的进步,真正实现了让企业业务的web应用安全防御的无感知但有效。
除此之外,长亭雷池web应用防火墙会对用户输入进行分析,识别其输入内容是否存在攻击意图,这个过程中能有效识别未知威胁(0day),因此,长亭雷池web应用防火墙真正地实现了对未知威胁的防御能力,这也是基于规则的传统waF无法实现的。
长亭科技已为该项技术申请了多项专利保护。
目前,长亭雷池web应用防火墙已应用在金融、视频、打车等领域,推出仅两个月时间,已有20家行业标杆客户。
在长亭科技等新兴网络安全公司的不断创新推动下,web安全防护将逐渐走向智能时代。
长亭科技是一家以技术为导向的新兴网络安全公司,专注于为企业提供网络安全问题解决方案。公司成立于2014年7月,2015年7月正式开展业务。到2016年7月,长亭科技顺利推出两款企业级产品,长亭科技的业务主导也从单一的安全服务组件转型为集安全产品和服务为一身的网络安全解决方案体系,为企业提供更全面的网络安全防御。
网络安全防御知识篇7
1运行管理的安全原则1.1制定并不断完善公司专用的安全策略。为了保护网络安全,最重要的事情就是编写安全策略,描述要保护的对象,保护的理由,以及如何保护它们。安全策略的内容最好具有可读性,同时,注意哪些是保密的,哪些是可以公开的。此外,应严格执行。最后,必须随时保持更新。1.2安全防范应基于技术、动机和机会3个方面考虑,以减少攻击者的成功率。从技术上讲,系统应同时需要相当高的通用技术和专用技术,从而避免不同级别的人员滥用系统。攻击者的动机方面,应消除攻击者的满足程度,使其感到受挫。每次攻击失败时,安全系统让攻击者移动到网络系统的其它地方,使攻击者工作很辛苦。1.3应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务,需要时再打开。第二,访问控制权限的管理应合理。第三,系统应能自我监视,掌握违反策略的活动。第四,一旦发现问题,如果有补救措施,应立刻采用。第五,如果被保护的服务器不提供某种服务,如Ftp,那么,应封锁Ftp请求。1.4安全只能通过自己进行严格的测试,才能达到较高的安全程度。因为每个人都可能犯错误,只有通过完善的安全测试,才能找到安全系统的不足。要做到主动防御和被动防御相结合,应能提前知道自己被攻击。如果知道自己被攻击,其实已经赢了一半。安全系统不但防御攻击者,同时防御他们的攻击。因为攻击者经常失败后就换个地方,再次实行新的攻击,因此,不但防御攻击的源地址,同时防御主机周围灵活选择的范围。1.5战时和训练相结合,也就是说,主动防御必须严格测试,并不断改进。同时,安全软件的选择应基于应用的重要性和产品的更新周期,保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件,避免安全系统的能力退化。1.6在企业内部,应让每一位员工都深刻理解安全是大家的事,不是口号,而是警告,安全和业务可能有冲突,最好能够得到领导和业务人员的理解和支持。安全管理过程中,对人员的信任应合理、明智,不能盲目信任。在企业的安全防御系统中,除了采用常规的防御方案,应尽可能采用一些适合行业特点的新方案,对攻击者而言,也就多了一层堡垒。要有运行规范,包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。2运行管理的组织结构为实现整个梯级调度的网络安全,需要各种保证网络安全的手段。网络安全功能的实现,必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行,负责完成全企业的安全系统总体运行方案的编制,负责安全管理中心的建设,制订全企业范围的安全管理规范,对相关人员进行基本培训,指导各电站(厂)完成其安全系统的运行。应有专人负责网络安全,成立网络安全管理组,其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。3运行管理的培训支持3.1建立安全教育培训体系为企业建立信息安全教育培训的制度,包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外,文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。3.2提供教育培训课程(1)安全基础培训对象:企业全部与网络安全相关的人员。内容:系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。目标:增强系统管理员的安全意识,基本了解安全的实际要领,能够分辩出系统中存在的安全问题。(2)Unix/windows系统安全管理培训对象:公司安全相关的系统管理员。内容:掌握Unix/windows系统的安全策略,常见的攻击手段分
网络安全防御知识篇8
面对当今的混合威胁,传统的安全系统已经无法满足安全的需求。防火墙的作用是用于网络访问控制,对于黑客使用缓冲区溢出等方式攻击oS则无能为力;对于通过邮件传播的蠕虫病毒,防火墙也无法阻挡;而且,黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击;防病毒系统属于被动防护,只能检测出已知病毒,对于新的未知病毒,防病毒软件无法检测出。因此,既能及时发现威胁,又能实时阻止威胁的入侵防御系统成为西工大校园网最适用的网络安全设备。经过对国内外入侵防御系统的严格测试和评比之后,西工大最终选择了启明星辰公司提供的天清入侵防御系统。天清入侵防御系统提供了对Bt、电驴等多种p2p应用的控制和防范,对蠕虫病毒、溢出攻击、SQL注入攻击等多种深层攻击行为都有很好的防御能力。
我们将天清ipS防御引擎部署在防火墙的后面,分析那些穿过边界的各种网络行为,按照预先订制的策略信息,来控制和防御各种违规和异常行为。这样部署既可以降低入侵防御系统的分析资源开销(由防火墙阻断掉部分攻击行为),又可以实现全网络的违规控制和攻击防御。天清ipS控制台目前的接入方式是和防御引擎一一对应,在此后的扩容工程中,控制台可以最多支持30个连接的部署,为此后各个分支网络(图书馆、宿舍区等)的安全设备增加部署留出了准备空间。
由于一些复杂行为不易通过简单的特征识别是否属于攻击,导致用户资产未得到充分保护,甚至影响正常业务。天清ipS融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,不但有效提高了对各种深层攻击行为的识别能力,而且对攻击变种、SQL注入等无法通过特征判断的攻击行为也能实现精确阻断。另外,天清ipS向安全管理员提供的是简洁实用的分析结果信息,而不是混乱的原始数据,因而有效地降低了监控和分析数据所需的成本。
网络安全防御知识篇9
关键词:校园网安全威胁;态势感知;aRp攻击;SYn洪水攻击;安全防御
中图分类号:tp393文献标识码:a文章编号:1009-3044(2013)14-3261-04
态势感知这一概念源于航天飞行的人因研究,此后在军事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究[1]。态势感知越来越成为一项热门研究课题,是因为在动态复杂的环境中,决策者需要借助态势感知工具显示当前环境的连续变化状况,以做出准确决策。网络安全态势感知(networkSecuritySituationawareness,nSSa)是指在大规模网络环境中[2],对能够引起网络态势发生变化的安全要素进行获取、理解、评估、显示及预测未来的发展趋势。网络态势感知源于空中监管态势感知,是一个比较新的概念。开展校园网态势感知研究旨在对校园网络态势状况进行实时监控,对潜在的、恶意的网络行为及攻击变得无法控制之前进行识别及防御,给出相应的应对策略,将态势感知的成熟理论和技术应用于网络安全管理,加强管理员对网络安全的理解能力,提高校园网的安全可靠性[3]。
由于aRp协议在设计上的缺陷,使攻击者能够利用它的不足对校园网进行攻击,严重影响校园网的正常运行[4]。aRp欺骗病毒传播迅速,容易泛滥;某些局域网工具软件也具备扰乱aRp表的功能;aRp网关欺骗往往会造成整个网段用户无法正常上网,故障面积大,极大地增加了网络管理难度[5]。因此,校园网管理中,如何准确及时地检测到aRp攻击并有效地防御,显得十分重要。
随着网络入侵和类似攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展,势必对安全产品技术提出更高的要求。因此迫切需要研究一项新技术来实现大规模网络的安全态势监控[6]。针对校园网中SYnFlood攻击和aRp攻击等威胁,我们提出一种新的安全态势感知系统。拟采用cookie技术防御SYnFlood攻击;嗅探抓包、核心层网络封包截获等技术有效拦截ip冲突,实现与网关的可信任通信,快速有效地定位攻击源防御aRp攻击[7]。
1系统总体设计
首先通过讨论我们决定系统中包括下面的几大部分:
1)应用层过滤模块
2)拦截局域网aRp攻击模块
3)配合服务器管理局域网模块
4)aRp反攻击模块
5)防御SYnFlood攻击模块
2校园网的态势感知系统
2.1aRp攻击原理及防御方法
aRp攻击,是针对以太网地址解析协议(aRp)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。aRp攻击通过伪造ip地址和maC地址实现aRp欺骗,能够在网络中产生大量的aRp通信量使网络阻塞,攻击者只要持续不断的发出伪造的aRp响应包就能更改目标主机aRp缓存中的ip-maC条目,造成网络中断或中间人攻击[8]。
采用核心层网络封包截获、内核模式下的网络数据过滤、网络扫描与智能检测等技术,通过windows平台实现在内核层对数据包的智能拦截过滤,有效拦截ip冲突,实现与网关的可信任通信,有效快速地定位攻击源。若有aRp欺骗,则比较先前发往网关的ReQUeSt后的ReSponSe与欺骗者的ReSponSe,若有源maC不同的ReSponSe,则一个是网关,一个是欺骗者。
本系统可以实现:
1)通过监测aRp缓存表,防止maC地址恶意篡改,保持数据的正确流向,不经过网关外的第三者。实现自动保护网关,若发现存在网关欺骗,则开启一个线程每隔一段时间发送数据包询问网关真实maC,放入缓存表,有效防止aRp攻击引起的挂马、掉线等问题。
2)提供本机aRp木马病毒准确追踪和及时查杀,保证网络畅通及通讯安全。
3)与以往的防御方式不同,在系统内核层直接拦截本机和外部的全部aRp攻击,而本机运行速度不受明显影响。
4)支持服务器端管理,可显示当前连接到服务器的客户端数量,保存连接端口及信息。服务器端采用java编程,非阻塞模式编写,可以显示有多少客户端链接到服务器。保存链接端口和信息,方便局域网管理员管理。
2.2SYn攻击原理及防御方法
SYn攻击属于DoS攻击的一种,它利用tCp协议缺陷,通过发送大量的半连接请求,耗费CpU和内存资源[9]。SYn攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYn攻击并不管目标是什么系统,只要这些系统打开tCp服务就可以实施,可见其危害范围之广。
检测SYn攻击比较简单,当在服务器上看到大量的半连接状态时,特别是源ip地址是随机的,基本可以断定这是一次SYn攻击。也可以通过系统自带的netstat工具来检测SYn攻击。
tCp协议开辟了一个比较大的内存空间backlog队列来存储半连接条目,当SYn请求不断增加,致使系统丢失SYn连接。采用SYn-cookie技术使得半连接队列被塞满的情况下,服务器仍能处理新到的SYn请求。在tCp实现中,当受到客户端的SYn请求时,服务器需要回复SYn+aCK包给客户端,客户端也要发送确认包给服务器。通常,服务器的初试序列号由服务器按照一定的规律计算得到或采用随机数,但在SYn-cookie中,服务器的初试序列号是通过对客户端ip地址、客户端端口、服务器ip地址和服务器端口以及其他一些安全数值等要素进行hash运算,加密得到的,称为cookie。当服务器遭受SYn攻击使得backlog队列满时,服务器并不拒绝新的SYn请求,而是回复cookie给客户端,如果收到客户端的aCK包,服务器将客户端的aCK序列号减1得到cookie比较值,并将上述要素进行一次hash运算,看看是否等于比cookie。如果相等则完成了三次握手[10]。对于校园网,一般对方的ip地址是真实的,所以采用这种方法更加有效。
3系统的测试环境
1)硬件设备
①方正科技台式机两台(intel(R)pentium(R)43.00GHzCpU,2.99GHz,1GB内存),一台用于搭建数据库,一台用于客户端。
②路由器。
③互联网环境,所用网络:校园网络(100m以太网)。
2)软件设备
①操作系统:windowsXpprofessionalServicepack3.
②开发工具:microsoftVisualC++6.0
③开发包:winpcap4.1.2.
4结束语
本文介绍了基于校园网安全威胁的态势感知的基本概念,并提出针对aRp攻击及SYn洪水攻击的检测方法,从而达到防御的效果。减少校园网内主机遭受攻击的频率。但随着信息技术的不断发展和网络环境的变化,校园网安全态势感知还有许多问题有待研究。在未来的工作中,我们拟构建一个实际可行的复杂网络行为模型,并基于复杂网络行为建模与模拟的网络安全态势预测技术。
参考文献:
[1]王艳平,张越.windows网络与通信程序设计[m].北京:人民邮电出版社,2006.
[2]谢希仁.计算机网络[m].5版.北京:北京电子工业出社,2001.
[3]RicherJ,nasarreC.windows核心编程[m].北京:清华大学出版社,2008.
[4]cisconetworkingacademyprogram.思科网络技术学院教程[m].北京:人民邮电大学出版社,2002.
[5]秦凯,戴曙光.利用VC++/C编程实现windows与Linux的网络通信[J].仪表技术,2009(2).
[6]任侠,吕述望,等.aRp协议欺骗原理分析与抵御方法[J].计算机工程,2003(9).
[7]杨延朋.校园网络aRp协议欺骗的检测与防御[J].鞍山科技大学学报,2007(3).
[8]KumarS,DharmapurikarS,YuF.algorithmstoacceleratemultipleRegularexpressionsmatchingforDeeppacketinspection[C].ppSiGComm’06,2006:11-15.
网络安全防御知识篇10
关键词:网络安全;防御技术;主动防御
计算机网络的全面应用与发展,切实为人们的生活和工作带来了便利,同时也拓宽了信息交流渠道,互联网也逐渐成为人们生产生活中不可获取的一部分。但网络实际上也是一把双刃剑,在其快速发展的背后,往往蕴藏着较大的安全风险,网络黑客、病毒植入等情况逐渐增多。为确保每一位用户的网络安全,需在充分理解当前需求的基础上,积极研发各类防御技术,通过实践应用找到其中存在的问题,并采取行之有效的措施加以解决,进而提高网络安全管理水平,防止安全危害的发生。
一、现代网络攻击的特点
1.网络攻击趋于自动化。如今,网络黑客工具层出不穷,非法攻击的发起人不再是以往具有丰富经验的计算机顶级操作者,只要具备简单基础的人都可借助此类工具或软件实施非法攻击,使得网络非法攻击的技术门槛大幅降低,直接增加了防护难度,为网络安全建设带来了不同程度的风险威胁。
2.攻击手段逐渐多样。网络技术与各类应用的持续发展应用,在某种程度上也使攻击的方式趋于多样化,利用系统漏洞实施非法攻击的例子并不少见,在安全漏洞察觉速度不断提高的情形下,网络攻击手段也在逐渐推陈出新,致使网络防御一度陷入僵局。现阶段的网络攻击手段已不局限于扫描窥探、畸形报文攻击等传统方式,通过对近年来几起较为严重的网络攻击事件的总结发现,DoS攻击、ipSpoofing攻击、Land攻击等一系列新型攻击手段的出现几率正不断提高。
二、目前网络安全防御技术
1.防火墙技术。防火墙是一种充分利用硬软件而组成的系统,主要控制内部网络与外部网络的连接和访问,从狭义的角度讲,防火墙实际上就是一种安装了相应防护软件的系统或主机;从广义的角度讲,防火墙除提供必要的防护功能外,还包含了安全策略与行为约束。
防火墙是建立在内网与外网之间的防护屏障,也可以是一个安全网关,主要用于恶意入侵和各类无法预测危害的发生。防火墙的实际功能为:对安全性不佳的用户与服务进行过滤、管理控制不可信网络的访问、对暴露的用户进行限制、制约非法访问、攻击警报等。防火墙是迄今为止最为常用且有效的防御手段,是切实保障网络安全的主要技术之一。
2.认证技术。认证是一种可有效防止恶意攻击的防御手段,它可对开放环境中的各类消息系统提供安全防护,实施认证技术的目的在于:
(1)验证消息的者是否合法;
(2)验证所的消息是否安全可靠,并保证信息传输过程中不会被攻击者篡改。
当前较为常用的认证技术为:信息认证、身份认证以及数字签名等。其中,信息认证技术的应用可以很好的解决在通信双方利益和危害均保持一致的情形下所出现的入侵和破坏防护等问题。此外,数字签字还可有效防止第三方以他人名义发送或接受信息的行为。
3.取证技术。取证技术主要包含动态和静态两种形式。其中静态取证指的是,在系统遭受侵害时,通过采取各类有效手段的方式,对危害进行取证和分析。在当前情况中,静态取证的应用范围较为广泛,在遭受入侵之后,对信息数据实行确认、抽取与分析,抽出凭证,这一系统过程会涉及数据防护技术、系统磁盘复制技术、数据信息识别技术、数据信息提取技术、数据信息分析技术、加密技术、解密技术等。
动态取证作为计算机取证技术的主要发展方向,是指在计算机中预先安装,在入侵发生时,可对系统的操作行为生成对应的日志,已达到动态记录的目的。充分运用文件系统所具有的特性,相关工具加以辅助,从而对损失的文件进行恢复,然后将日志上传至取证机中进行备份,为入侵行为的发生提供有力的证据,实现网络安全的综合防护。在动态取证中,具有一定典型特征的技术有:非法入侵检测技术、非法入侵取证技术、追踪技术、数据采集技术、数据过滤技术、信息的动态获取技术、ip获取技术等。
三、网络安全新技术
随着网络在人们的生活、工作和学习中越来越普及,网络安全问题也越来越困扰着人们,除了上述提到的几种安全技术,一些新的防御手段也逐渐开发出来,应用到网络中。
1.蜜罐技术。蜜罐是一种近几年兴起的安全防御技术,凭借其独特的思想和理念逐渐得到了多数人的关注和应用。蜜罐技术由Lancespitzner创作,他给出了该防御技术的定义,即为:蜜罐实际上是一个安全资源,其基本价值主要体现在扫描、攻击与攻陷,随后针对各种攻击活动实施监视、检测与研究。蜜罐技术的具体防御机制为,短暂容忍入侵行为,同时对攻击方式、攻击目的等进行记录和学习,特别是未知的攻击信息,进而对网络做出相应的调整,采取必要的安全措施,提升系统的安全性。此外,该技术还可有效转移攻击发起者的注意视线,消耗攻击者的资源及精力,从而起到间接防护的作用。蜜罐技术可以为使用者提供动态识别各类攻击的手段,将成功捕获的重要信息向防护系统中反馈,进而达到动态提升系统防御力的目的。然而由于蜜罐技术是一种新兴技术,所以其还处在起始阶段,但它所具有的独特功能和防御能力,正逐渐成为防护体系的重要组成部分,通过不断的完善和发展,该技术势必会得到更加广泛的应用,充分发挥其防御能力,使非法攻击无从下手。
2.攻击吸收及转移技术。在特殊环境下,若在发现攻击时对当前的连接进行迅速切断,虽然可以有效避免后续危害,但这样一来就无法对攻击者的行为进行观察,不利于类似攻击方式的防范。攻击吸收及转移技术是近几年兴起的防御技术,该技术的全面运用可以极短的时间内将攻击包吸收至相应的诱骗系统当中,不仅可以对和攻击者之间的连接进行快速切断,还可有效保护主机,此外还能对攻击行为和方式进行分析,为类似攻击的防范提供基础支持。
在未来的网络安全中,将会面临着更加严峻的考验,不仅攻击方式丰富,且危害性也在不断提高。为此,相关人员必须充分理解防御技术应用与发展必要性,综合分析网络安全现状,结合自身实践经验,积极研发各类杀毒软件,并对服务器的安全进行加强,及时更新软件与补丁,切实做好网络安全管理。另外,人们还需转变传统观念,网络安全不单单是安装各种杀毒软件这么简单,而是需要将系统应用、服务器等进行有效的结合,进而形成一个完善、健全的防御体系,以有效防止所有类型的入侵和攻击。
参考文献:
[1]应向荣.网络攻击新趋势下主动防御系统的重要性.[J].计算机安全.2003.
[2]黄家林,张征帆.主动防御系统及应用研究.[J].网络安全技术与应用.2007.